Zero-Day-Lücken in Microsoft Exchange Server

Es besteht dringender Handlungsbedarf!

30.09.2022 | Sicherheitsforscher verschiedener Unternehmen warnen aktuell vor Zero-Day-Lücken (CVE-2022-41040 & CVE-2022-41082) in Microsoft Exchange Server, die bereits aktiv ausgenutzt werden.

Betroffen sind alle On-Prem Exchange Server mit externer OWA- oder ECP-Anmeldung, die aus dem Internet erreichbar sind. Laut den Security-Experten von GTSC ermöglichen die Schwachstellen den Angreifern die Ausführung von Schadcode sowie eine weitere Verbreitung auf andere Systeme.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Bedrohung als „hoch“ ein.

Microsoft arbeitet nach eigenen Angaben derzeit an einer Behebung der Problematik. Bis dahin sollten betroffene Nutzer die Handlungsempfehlungen zur Absicherung befolgen, die das Unternehmen in einem Bericht veröffentlicht hat.

Patches fehlen noch, Workaround ist möglich

Bisher stehen noch keine Patches zur Verfügung. Die Sicherheitsforscher von GTSC raten Admins dazu, ihre Exchange Server über einen Workaround abzusichern.
Um die Angriffsversuche abzublocken, muss eine neue URL-Rewrite-Regel im IIS-Server hinzugefügt werden:

  • Wählen Sie im Frontend in Autodiscover die Registerkarte „URL Rewrite“ und dann „Request Blocking“
  • Fügen Sie die Zeichenfolge „.*autodiscover\.json.*\@.*Powershell.*“ zum URL-Pfad hinzu
  • Wählen Sie als Bedingung {REQUEST_URI}

Prüfung auf Kompromittierung

Um zu überprüfen, ob ein Exchange Server bereits von einem Angriff betroffen ist, hat GTSC einen Leitfaden sowie ein Tool zum Scannen von IIS-Protokolldateien veröffentlicht. (Dieser ist standardmäßig im Ordner %SystemDrive%\inetpub\logs\LogFiles gespeichert.)

Verwenden Sie zur Überprüfung Ihres Exchange Servers entweder

  • den PowerShell-Befehl: Get-ChildItem -Recurse -Path -Filter „*.log“ | Select-String -Pattern ‚powershell.*autodiscover\.json.*\@.*200‘
  • oder das von GTSC entwickelte Tool.
Auf Grundlage der Exploit-Signatur haben die GTSC-Forscher ein Tool erstellt, das eine kürzere Suchzeit benötigt als PowerShell. Dieses können Sie sich auf GitHub herunterladen.
Außerdem führen die Sicherheitsforscher von GTSC in ihrem Bericht noch einige Indicators of Compromise (IOCs) auf, anhand deren eine Infektion erkennbar ist.

Sie haben Fragen oder benötigen Unterstüzung bei der Umsetzung der Maßnahmen? Dann sind wir gerne für Sie da! Sie erreichen uns telefonisch unter tel:+497805918110 oder über das Kontaktformular.
Kontakt

Informationen zum Datenschutz finden Sie hier.